安全系统设计.docx

1、安全系统设计1.1.1 安全系统建设需求1.1.1.1 信息系统安全等级预评估步骤为确定信息系统的安全保护等级，首先要确定信息系统内各业务子系统在4个定级要素方面的分析，然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级，再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级，最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。具体步骤如下图所示：图71等级确定图1.1.1.2 受侵害的客体及对客体的侵害程度定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。（1） 侵害国家安全主要是指影响国家

2、政权稳固和国防实力、民族团结和社会安定、重要的安全保卫工作、经济竞争力和科技实力等；（2） 侵害社会秩序主要是指影响国家机关社会管理和公共服务的工作秩序、各种类型的经济活动秩序等；（3） 影响公共利益主要是指影响公共设施、公开信息资源、公共服务等方面；（4） 影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。不同危害后果的三种危害程度描述如下：（1） 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。（2） 严重损害：工作职

3、能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。（3） 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。1.1.1.3 信息系统安全等级预评估1、 业务信息安全性等级分析业务信息安全性等级分析如下：（1） 本项目是*信息包括*信息管理与服务，其所侵害的客体为社会秩序、公共利益；（2） *信息不属于涉密信息，被破坏不会对国家利益损害，对社会秩序、公共利益的侵害程

4、度为一般损害；（3） 因此根据业务信息安全性等级矩阵表，业务信息安全性等级为2级，如下表所示：表7-1 业务信息安全性等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、 业务服务保证性等级分析业务服务保证性等级分析如下：（1） 业务服务为：*信息包括*信息的服务，遭受破坏后，其对社会秩序、公共利益造成严重损害；（2） 查表知业务服务保证性等级为3级，如下表所示：表7-2 业务服务保证性等级矩阵表业务服务保证被破坏时所侵害的客体对相应客体的侵害

5、程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2 安全系统设计2.1 安全体系总体结构规划安全系统建设的原则，一是必须符合国家电子政务安全规划及国家的其他相关规定，二是要从*信息公共服务支撑的实际工作需求出发，建设既符合要求又满足实际需求的安全系统。图71安全体系架构图安全系统建设的重点是，确保信息的安全，确保业务应用过程的安全防护、身份识别和管理。安全系统建设的任务，需从技术和管理两个方面进行安全系统的建设。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从

6、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。表7-1 系统安全体系职责分工表序号层级名称安全说明职责分工1物理安全环境建设、设备冗余由政务外网云计算平台负责2网络安全网络边界安全、防火墙由政务外网云计算平台负责3系统安全操作系统安全策略、防病毒软件由政务外网云计算平台负责4应用安全统一身份认证、权限管理、日志管理、系统审计由建设单位负责5数据安全数据资源管理、数据库权限管理由建设单位负责6安全管理安全管理制度、人员安全管理、系统运维管理由建设单位负责2.2 安全等级保护建设要求为了保证本项目安全稳定运行，根

7、据安全等级保护预评估，将按照信息系统安全等级保护基本要求中的第三级要求进行设计，提供多层次的全面信息保护与网络安全应用解决方案，安全建设目标划分为技术和管理两部分。2.2.1 技术目标从安全体系上考虑，实现多种安全技术或措施的有机整合，形成一个整体、动态、实时、互动的有机防护体系。具体包括： 本地计算机安全：主机系统文件、主机系统的配置、数据结构、业务原始数据等的保护。 网络基础设施安全：网络系统安全配置、网络系统的非法进入和传输数据的非法窃取和盗用。 边界安全：横向网络接入边界，内部局域网不同安全域或子网边界的保护。 业务应用安全：业务系统的安全主要是针对应用层部分。应用软件的设计是与其业务

8、应用模式分不开的，同时也是建立在网络、主机和数据库系统基础之上的，因此业务部分的软件分发、用户管理、权限管理、终端设备管理需要充分利用相关的安全技术和良好的安全管理机制。1、 网络基础设施及网络边界安全为维护信息服务，并对各种信息进行保护，避免无意中泄漏或更改这些信息，要保护网络基础设施。将达到以下目标：JS-1. 采取必要的措施，保证各种接入方式通信和传输的安全，防止非法用户通过外部接入方式侵犯内部网络。JS-2. 应根据不同应用的安全级别，调整网络拓扑结构，划分合适的安全区域，在不同的安全区域之间采取必要的隔离措施（逻辑隔离或物理隔离）。JS-3. 能按照不同接入方式特点和用户身份特征采取

9、相应的身份认证和入侵预警措施。JS-4. 通过采取必要的访问控制措施，将不同用户的操作限定在有限的区域内。JS-5. 应采取必要的访问控制措施，实现系统的边界安全，做到应用过滤级别的访问控制，保证任何业务用户不能直接访问核心数据库。JS-6. 在边界服务区域，采用病毒防护技术，杜绝病毒从网络边界传入。JS-7.应保证网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。2、 主机系统安全本项目业务应用都是通过本地服务器来实现的，因此在安全建设中本地计算机的安全要满足以下的目标：JS-8. 采用多种安全防护手段，使关键业务服务器和数据库服务器的安全防护级别高于其它系统。JS-9. 需要保护服务

10、器上的数据以及服务器提供的服务，防止非授权的访问和权限提升。JS-10. 采取适当的技术和管理手段，保护本地计算机免受病毒、间谍软件的侵害，防止信息泄露。3、 业务应用及核心数据库JS-11. 保证各业务应用系统数据的真实性、可用性、机密性、完整性。JS-12. 保证核心数据库的安全，防止非法的访问请求。JS-13. 对访问核心数据库的请求和数据交换，进行病毒检测。JS-14. 应实现核心数据的本地备份。2.2.2 管理目标一套完整的安全解决方案必须配备相应的管理制度。因为完美的安全系统是建立在用户特定的管理运行模式中的，没有严格的管理规范和管理制度，再完美的设计和昂贵的设备都没用的。建立全面

11、的安全运行维护服务，以保障系统安全、高效运转的需要。安全建设管理目标就是根据覆盖信息系统生命周期的各阶段管理域来建立完善的信息安全管理体系，从而在实现信息能够充分共享的基础上，保障信息及其他资产，保证业务的持续性并使业务的损失最小化，具体的目标如下：GL-1. 定期对局域网网络设备及服务器设备进行安全隐患的检查，确保所有运行的网络设备和服务器的操作系统安装了最新补丁或修正程序，确保所有网络设备及服务器设备的配置安全。GL-2. 提供全面风险评估、安全加固、安全通告、日常安全维护、安全应急响应及安全培训服务。GL-3. 对已有的安全制度，进行更加全面的补充和完善。GL-4. 应明确需要定期修订的

12、安全管理制度，并指定负责人或负责部门负责制度的日常维护。GL-5. 应委托公正的第三方测试单位对系统进行安全性测试，并出具安全性测试报告。GL-6. 应通过第三方工程监理控制项目的实施过程。2.3 安全技术方案2.3.1 系统安全技术目标我市电子政务安全体系建设的总体目标是：保护电子政务网络的信息资产不受侵犯；保证信息资产的拥有者和使用者面临可接受的安全风险，并获得最大的利益；保证整个电子政务网络及相关业务系统的可用性、完整性。针对*项目（二期）具体的安全目标是：（1） 在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；

13、（2） 构建统一的安全管理与监控机制，统一配置、调控整个网络多层面、分布式的安全问题，具有检测、发现、报警和采集入侵行为的能力；加强安全应急事件的处理能力，实现网络与信息安全的可控性；（3） 在系统遭到损害后，具有能够较快恢复正常运行状态的能力，对于服务保障性要求高的系统，应能快速恢复正常运行状态；（4） 具有对系统资源、用户、安全机制等进行集中管控的能力。2.3.2 网络层安全采用核心交换机ACL访问控制列表以及VLAN隔离功能、硬件防火墙、入侵防御系统（IPS）等安全防范措施。1、 划分子网段及访问控制根据网络内部的业务应用及安全需求，进行分级分域的安全策略控制，采用交换机的ACL访问控制

14、列表以及VLAN隔离功能进行子网段的划分，避免来自不安全网段的病毒感染、黑客攻击蔓延等威胁。由政务外网云计算平台按照互联网接入区VLAN划分规则对*项目（二期）进行VLAN划分，实现分级分域安全策略控制。2、 防火墙设置防火墙是网络防护的基础设备。它将对外提供服务的服务器通过一定的技术和设备隔离开来，让那些设备形成一个保护区，即DMZ区。它隔离内部网络与外部网络，并提供存取控制服务，使内部网络有选择的与外部网络进行信息交换，防火墙增强了内部网络的安全性，用户可以更安全地利用网络资源。通过部署在政务外网云计算平台网络出口的防火墙，对所有访问*项目（二期）的网络流量进行控制，并对互联网区对外提供服

15、务的服务器提供安全保护，实现与互联网逻辑隔离。3、 入侵防御系统（IPS）入侵防御系统（IPS）帮助系统应对网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了安全基础结构的完整性。入侵防御系统是主动性的防御机制，它的设计旨在对常规网络流量中的恶意数据包进行检测（这是目前防火墙产品无法做到的）、阻止入侵活动、预先对攻击的流量、病毒进行自动拦截，而不是在传送恶意流量的同时或之后简单地发出警报。入侵防御被认为是防火墙之后的第二道安全闸门，在不影响网络性能的前提下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护，入侵防御系统（IPS）是防火墙的合理补充。通过部署在政务外网云计算平台网络出口的入侵防御系统（IPS），对所有访问*项目（二期）的网络攻击进行监视、识别和响应，并对互联网区对外提供服务的服务器提供安全保护，实现与互联网逻辑隔离。2.3.3 系统层安全1、 操作系统安全*项目（二期）的主机选择安全可靠的操作系统。用“最小适用性原则”配置